Cyber

Läbistustestimine (Penetration Testing)

Läbistustestimine (Penetration testing) on nagu digitaalsete süsteemide turvalisuse tervisekontroll. See on proaktiivne viis leida ja parandada turvanõrkusi enne, kui kurjategijad neid ära kasutada saavad. Teisiti öeldes on läbistustestimine kui simuleeritud rünnak teie IT-taristu, võrgu või rakenduste, mida viivad läbi eetilised häkkerid, kes on eksperdid turvanõrkuste leidmises.

Kellele mõeldud?

Regulaarne IT-taristu, võrgu või rakenduste läbistustestimine on vajalik igas suuruses ettevõttele, olenemata tegevusvaldkonnast. Enne läbistustestimise teenuse tellimist on mõistlik siiski tegeleda süsteemide ja rakenduste baasturbe tagamisega – kui baasturve on tagatud, on järgmine loogiline ja mõistlik samm läbistustestimine.

Milliseid probleeme või vajadusi lahendab?

  • Tuvastab IT-taristus, võrgus või rakendustes nõrkusi, mida võivad ründajad ära kasutada.
  • Aitab täita vastavusnõudeid, mis tulenevad tuntud turvastandarditest või raamistikest.
  • Annab kindlustunde, et juba rakendatud turvameetmed on tõhusad ja suudavad vastu pidada reaalsetele rünnakutele.
  • Aitab täiustada ja testida intsidentidele reageerimise plaane, simuleerides erinevaid rünnakustsenaariume, mis võib välja tuua puudusi seoses valmisoleku ja reageerimisvõimega.
  • Sõltumatu läbistustestimine aitab teostada ka järelvalvet küberturbe teenuseid osutavale ettevõttele.

Mida me testime?

penetration_test_1

Veebirakenduste läbistustestimine – Eesmärk on veebirakenduste nõrkuste tuvastamine ja hindamine.

penetration_test_2

Sisevõrgu läbistustestimine – Eesmärk on tuvastada ja hinnata nõrkusi ettevõtte sisevõrgus.

penetration_test_3

Välise võrgu läbistustestimine – Eesmärk on ettevõtte välise võrgu nõrkuste tuvastamine ja hindamine.

penetration_test_4

Mobiilirakenduste läbistustestimine – Eesmärk on mobiilirakenduste nõrkuste tuvastamine ja hindamine.

penetration_test_6

Punase tiimi lööktestimine simuleerib tegelikke keerulisi küberrünnakuid, et hinnata ettevõtte üldise turvahoiaku tõhusust.

Metoodika ja protsess

Läbistustestimise metoodika aluseks on mitmed tuntud ja tunnustatud raamistikud: OWASP ASVS, OWASP Top 10, OWASP MASVS,  OWASP WSTG (v4.2), OSSTMM, NIST, ISACA j.t.

Musta kasti meetod – Selle meetodi puhul puudub ründajal kliendi IT-taristu või süsteemide kohta eelnev teave.
Valge kasti meetod – Selle meetodi puhul on ründajal eelnev teave ja juurdepääs süsteemidele.
Halli kasti meetod – Selle meetodi puhul omab ründaja osalist infot kliendi IT-taristu või süsteemide kohta.

penetration_test_kasti_meetod2

Enne testimise alustamist lepime tellijaga kokku täpse testimise ulatuse ja eesmärgi ning testimise protsessi reeglid.

Selles etapis kasutab eetiline häkker kõikvõimalikest kättesaadavatest avalikest allikatest pärit teavet sihtmärgi kohta, mis võiks soodustada eduka testimise läbiviimist (nt tumeveebist leitav informatsioon).

Selles etapis kogub eetiline häkker võimalikult palju teavet sihtmärkide ja nende funktsioonide kohta. Selle tegevusega saame selgust sihtmärkide normaalsest talitlusest ja leiame kohad, kuidas süsteemid edukalt läbistada.

Etapi sisendiks on ründeala kaardistamisega saadud teave ja selle pinnalt teeb eetiline häkker kindlaks kõige tõhusamad ründemeetodid ning ühtlasi ka selle, millise teabe järele reaalne häkker kõige tõenäolisemalt läheks.

Pärast ründemeetodite tuvastamist on järgmine küsimus, kuidas pääseda ligi sihtmärgile? Selles etapis kasutatakse ära varasemates sammudes kogutud teavet ja tehakse kindlaks konkreetsed nõrkused, mida järgmises etapis ära kasutada.

Ründe etapis käivitatakse sihtmärgisüsteemi vastu erinevad rünnakud, et proovida sihtmärgile edukalt juurdepääs saada.

Pärast ründeetappi koostame kokkuvõtva aruande, kus toome välja kõik tuvastatud nõrkused ja ettepanekud nõrkuste kõrvaldamiseks ning inimkeeles kokkuvõtte ettevõtte juhtkonnale.

Miks OIXIO Cyber?

  • Vähemalt kaks eksperti projekti kohta parema teenuse kvaliteedi ja tulemuse tagamiseks. Lisaks kasutame ristkontrollisüsteemi, et tuvastada, kas midagi jäi testimise käigus märkamata. Seega viiakse iga testimine läbi minimaalselt 3 tehnilise inimese poolt (2 testijat ja 1 ülevaataja).
  • Iga kliendi tegelikule vajadusele ja ärispetsiifikale kohandatud rünnakustsenaariumid.
  • Tasuta kordustestimine, ühe aasta jooksul, pärast testimise käigus tuvastatud nõrkuste kõrvaldamist.
  • Mõistame privaatsuse ja konfidentsiaalsuse kriitilist tähtsust meie tegevusvaldkonnas. Kõrgeimate andmekaitse standardite säilitamiseks kehtestame range poliitika, mille kohaselt eemaldatakse iga läbistustestimise lõppedes seotud sisu turvaliselt 30 päeva jooksul.
  • Meil on oma ala ekspertidest koosnev 8-liikmeline meeskond aastatepikkuse ründava turvalisuse kogemusega.

Meie kogemused

Meie ekspertidest koosnev meeskond teostanud läbistustestimist mitmes riigis üle terve maailma, nagu: Austria, Saksamaa, Slovakkia, Tšehhi, USA, Šveits, Malta ja Eesti. Meie lähenemine on juurdunud sügavas tehnilises oskusteadmises.

Oleme pühendunud klientide harimisele, küberturbe keerukuste demüstifitseerimisele ja selgete teadmiste pakkumisele selle kohta, mida iga meie klient tegelikult vajab.

Kuidas saame Sulle abiks olla? (OIXIO Cyber)

Võta ühendust, kui soovid suhelda eksperdiga.

* tähistatud väljad on kohustuslikud

Nimi*
Kirjutage meile, kui teil on küsimus või soovite suhelda eksperdiga.
Kinnitus*
This field is for validation purposes and should be left unchanged.

Erki Markus

Linkedin

Küberturbe ärisuuna projektijuht